国土局网络整改方案

国土局网络整合方案 北京红石华赛科技有限公司 二零一二年三月 目录 一、背景： 3 二、风险以及安全需求分析： 4 三、服务器群安全保障设计 6 3.1 数据中心安全需求分析 .6 3.1.1、物理层安全需求 .7 3.1.2、网络层安全需求 .7 3.1.3、系统层安全需求 .7 3.1.4、应用层安全需求 .7 3.1.5、管理层安全需求 .8 3.2 网络安全框架设计 .8 3.2.1 安全体系设计原则 8 3.2.2 安全体系层次划分 9 3.2.3 各层技术实现 .11 3.2.4 网络层安全 14 3.2.5 系统层安全 15 3.2.6 应用层安全 16 3.2.7 安全管理 18 3.2.8 本地数据存储备份 19 四、售后服务与技术支持 20 概述 .20 4.1 北京红石华赛技术支持服务体系 .21 4.1.1 北京红石华赛科技有限公司技术资源 21 4.1.2 应急备件服务 23 4.2 北京红石华赛科技有限公司技术支持服务承诺 23 4.2.1 产品服务承诺书 24 4.2.2 集成与实施期间服务承诺 24 4.2.3 服务期内服务内容 25 4.2.4 正常服务期满后的服务 26 4.2.5 技术服务方式 26 4.2.6 培训承诺 27 4.3 项目支持服务方案 .28 4.3.1 北京红石华赛科技有限公司售后服务联系方式 .28 4.3.2 本项目支持服务组织结构 28 4.3.3 北京红石华赛科技有限公司支持服务请求处理流程 .30 4.3.4 项目应急支持服务处理流程 30 4.3.5 项目支持服务内容及标准 31 定期巡检服务 31 设备保修服务 31 故障部件更换服务 32 软件升级服务 32 顾问咨询服务 32 4.3.6 项目巡检服务方案 33 定期巡检计划 33 巡检服务流程 33 巡检时间计划 34 巡检工作内容 34 网络健康检查 35 网络故障防范 35 巡检总结与分析 35 网络变更保障服务 36 4.3.7 北京红石华赛科技有限公司增值服务 .36 4.3.8 北京红石华赛科技有限公司支持服务质量管理 .36 五、培训 37 一、背景： 北京市国土资源局（以下简称：国土局）服务器群作为信息服务和管理工 作的重要组成部分，坚持服务公众、服务社会、服务政务的原则，负责发布北 京市国土资源政务信息、提供在线服务和网上政民互动等工作，经过多年的建 设和完善，形成了综合信息服务平台，构建了市局网站、分局网站、内网网站 的服务器群，实现了统一管理、信息共享、信息联动。目前，北京市国土资源 局互联网服务器群主要托管于中塔机房，通过前期调研，越来越多的黑客、病 毒、不法机构和人员都有可能对国土局网站业务系统的正常运行产生威胁，网 站业务系统随时都可能遭受恶意攻击和环境影响，近两年，互联网服务器群的 被攻击频率明显增加。为了确保国土局互联网服务器群的安全可靠运行，保证 业务的正常开展，迫切需要结合国家信息安全等级保护制度，针对国土局国互 联网服务器群构建信息安全保障体系。 二、风险以及安全需求分析： 服务器群安全风险主要来自于这几方面：物理安全风险、网络安全风险、 主机系统安全风险、应用层安全、管理安全方面的风险。 物理安全风险 网络物理安全是整个网络系统安全的前提。物理安全风险主要包括： 地震、水灾、火灾等环境事故造成整个系统毁灭； 电源故障造成设备断电以至操作系统引导失败或数据信息丢失； 设备被盗、被毁造成数据丢失或信息泄漏； 电磁辐射可能造成数据信息被窃取或偷阅； 网络安全风险 系统安全体系之网络安全主要分为传输网络安全和业务网络安全两类。对 于系统相关的传输网络，网络安全主要是保证参与系统各方主体之间的数据传 输网络以及公共网络服务的安全可靠运行，从目前情况来看，传输网络安全目 前需要由网络基础设施提供商或服务商为其安全性提供充分保证。对于系统相 关的业务网络，网络安全主要包括控制远程用户接入、设置防火墙、防范病毒、 控制与公网互连、防范黑客入侵以及就网络安全进行严格监控和规范管理等以 保护业务网络资源和应用服务。 系统安全风险 系统安全一方面来自系统本身的安全风险，指网络设备操作系统、网络服 务器操作系统、网络应用系统的安全。目前的操作系统或应用系统无论是 Windows 还是其它任何商用 UNIX 操作系统以及其它厂商开发的应用系统，系 统本身大多存在安全漏洞。这些安全漏洞都将存在重大安全隐患。但是从实际 应用上，系统的安全程度和对其进行安全配置及系统的应用面有很大关系，操 作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的 人都可能入侵得手。如果进行安全配置，比如，填补安全漏洞，关闭一些不常 用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进 入内部网是不容易，这需要相当高的技术水平及相当长时间。因此应正确估价 自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。 另一方面来自病毒的安全风险，网络是病毒传播最好、最快的途径之一。 病毒程序可以通过网上下载、电子邮件、使用盗版光盘、人为投放等传播途径 潜入内部网。曾经的震荡波、灰鸽子、熊猫烧香等都令世人震惊。因此，病毒 的危害不可以轻视。网络中一旦有一台主机受病毒感染，则病毒程序就完全可 能在极短的时间内迅速扩散，传播到网络上所有主机。 应用层的安全风险 应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的 安全性也是动态的。这就需要我们对不同的应用，检测安全攻击，并采取相应 的安全措施，降低应用的安全风险。 管理安全风险 内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一 些重要信息传播给外人带来信息泄漏风险。 机房重地却是任何人都可以进出。存有恶意的入侵者便有机会得到入侵的 条件。 内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用 网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删 除数据等等。这些都将给网络造成极大的安全风险。 管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必 须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可 能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。 三、服务器群安全保障设计 3.1 数据中心安全需求分析 服务器群网络系统安全需求可以从管理层、物理层、网络层、系统层、应 用层等方面加以分析。 在安全管理方面，要考虑政策、法规、制度、管理权限、级别划分、安 全域划分、责任认定、安全培训等，制定切实有效的管理制度和运行维 护机制；建设支撑安全管理的技术支撑体系； 在物理安全方面，要根据实际情况建立相应的安全防护机制； 在网络安全方面，要解决数据中心与互联网的逻辑隔离；对各个安全域， 要防范黑客入侵、身份冒充、非法访问；要解决信息在安全域间传输时 的完整性、可用性、保密性问题；要解决移动接入用户身份鉴别和安全 传输等问题； 在系统安全方面，要解决操作系统安全、数据库安全、病毒及恶意代码 防范等问题； 从应用安全安全需求进行分析，分为两个方面，应用系统在设计过程中 的安全风险，另一方面检测和阻止对应用系统的安全攻击并采取相应安 全措施。 通过上面的分析，我们已经可以清楚地了解到服务器群网络面临怎样 的安全风险和威胁以及对应解决的途径，在此基础上，我们可以得出如下 比较详细的安全需求： 3.1.1、物理层安全需求 保护整个数据中心网络的物理安全，防止电磁信息的泄露、防止设备被 盗被破坏； 3.1.2、网络层安全需求 实现外网与互联网安全、可控的逻辑隔离； 保护数据中心不会因来自互联网拒绝服务攻击而瘫痪； 对进出各安全域的信息和数据进行严格的控制，防止对安全域的非法访 问； 对于各个安全域之间交互的信息和数据，保护其完整性、可用性、保密 性，防止在传输过程中被窃取、篡改和破坏； 在各个安全域内，能及时发现和响应各种网络攻击与破坏行为； 3.1.3、系统层安全需求 建立病毒及恶意代码的预警和响应机制，能及时发现和响应各种病毒及 恶意代码的攻击、破坏和信息泄露行为； 使系统内的操作系统能及时升级、安装安全补丁； 实现主机操作系统的内核级安全加固，使其由普通商用操作系统提升为 安全性较高的系统 3.1.4、应用层安全需求 建立统一的网络信任体系，实现强身份认证机制，为工程中涉及网络设 备、安全设备、应用系统提供统一的身份认证服务； 建立起安全攻击的检测及其阻止措施，对入侵行为进行实时检测，对可 疑行为进行阻止； 3.1.5、管理层安全需求 制定合理、有效、可行的安全管理制度，将一期工程信息系统的安全管 理水准维持在较高的水平； 能够及时了解各个安全域的安全现状，以便发现并解决安全问题； 3.2 网络安全框架设计 3.2.1 安全体系设计原则 数据中心是一项系统工程，需要随着网络建设的成熟以及应用系统的增加 不断完善，不断提高系统的安全性和可用性。因此，设计应遵循以下建网原则： 1. 标准化原则 标准化是数据中心建设的基础保障，应用服务系统建设必须在业务流程化、 安全体系和安全技术、信息表示和信息交换、网络协议、软件结构、软件平台 等标准方面遵循国家有关技术标准，才能达到“互连、互通、互操作”要求，实 现“ 信息交换、资源共享”。 2. 安全保密性原则 在数据库设计、应用操作权限和身份认证方面均严格遵循国家有关安全、 保密标准，全面加强安全措施，所有应用项目采用符合国家标准的基础软硬件。 3. 可靠性原则 系统能有效的避免单点失败，在设备选择和互联时应提供充分的冗余备份， 实现 724 小时不间断工作。 4. 可管理性原则 系统设备易于管理、维护，操作简单，便于配置，在安全性、数据流量、 性能等方面能得到很好的监视和控制，可以进行远程管理和故障诊断。 5. 先进性原则 系统的结构设计、配置、管理方式，应采用成熟的先进技术，延长系统的 生命周期。 6. 开放兼容性原则 系统要求开放性好、标准化程度高，系统建设应与现有的一些单位局域网 系统平台兼容。系统建立符合国家关于及信息化建设有关标准。 7. 可扩展性原则 系统设备不但满足当前需要，并在扩充模块后满足发展的需要；保证系统 平台升级时能保护现有投资。 8. 先易后难、阶段实施的原则 将容易实现的重点业务作为突破口，坚持分阶段实施，立足于小步快走， 步步见效，滚动发展，最大限度的减少投资风险，提高系统利用率。 9. 技术成熟性原则 在系统软硬件方面，充分考虑采用国内通用的，成熟的软硬件产品进行开 发，保证系统功能的高效稳定。 3.2.2 安全体系层次划分 数据中心整个安全体系应划分为以下几个层次：物理安全体系、网络安全 体系、系统安全体系、应用安全体系、安全管理体系五个层次。华为公司经过 近 10 年的网络安全技术积累，建立了中国首个“网络及应用攻防实验室” ，目 前已推出全系列的网络安全产品，涵盖网络安全的各个层次。 每一个层次具体的安全技术与措施描述如下： 1、物理安全体系 物理安全体系主要是指防止物理通路的损坏、对物理通路的攻击（干扰） 、 物理环境安全、网络设备及主机的物理安全等； 2、网络安全防御体系 网络安全防御体系主要解决网络互联时在网络通信层的安全问题，具体采 用的安全技术和措施包括：网络设备安全、网络访问控制、网络和链路层数据 加密、网络隔离、防火墙、入侵检测、安全审计等。 3、系统层安全体系 系统安全体系的主要解决主机操作系统的访问控制以及主机存在的漏洞及 病毒的侵害等。具体的安全技术和措施包括：病毒防范、漏洞检测、操作系统 的安全配置、操作系统安全加固等。对主要业务系统采取事前评估、事中控制、 事后审计的三重防护方案。 4、应用层安全体系 采用完整的应用层协议分析技术，基于对已知协议和 RFC 规范的理解，能 够准确、高效的识别各种已知攻击，并且自然拥有检测协议异常、协议误用的 能力，采用 IDS 与通过与防火墙的联动，有效检测和阻止各种蠕虫、间谍软件、 网络钓鱼等对应用层的攻击。 针对当前各类流行 Web 攻击手段（如网页挂马攻击、SQL 注入漏洞、跨 站脚本攻击等） ，进行全面的、深入的、彻底的风险评估，采用综合性的规则库 （本地漏洞库、ActiveX 库、网页木马库、网站代码审计规则库等）以及业界 最为领先的智能化爬虫技术及 SQL 注入状态检测技术，对网站 WEB 应用进行 全面检测，确保应用安全。 5、统一安全管理体系 安全管理贯穿在安全的各个层次实施，本身可以从不同的视角加以描述： 从全局管理角度审视，要制订全局的安全管理策略； 从用户管理角度审视，要实现统一的用户角色划分策略； 从资源管理角度审视，要实现资源的分布配置和统一的资源目录管理； 从技术管理角度审视，要针对各个层面的要求实现统一的安全监管，为 IT 决策提供依据。 定期的安全评估是保证动态安全的一个有力手段，通过安全评估，能够了 解自身网络安全状态和风险等级，并通过安全评估结果来输出安全整改建议。 3.2.3 各层技术实现 1. 物理安全设计 物理安全是整个服务器群安全的前提。在物理安全体系设计中包括物理设 备的安全，机房的安全等。 由于国土局网的性质为非涉密网，在建设过程中，无须建设屏蔽机房，无 须采用屏蔽线路，无须采用电磁辐射等技术；也就是说，对于物理安全防范方 面，将不考虑电磁辐射等带来的信息泄露问题，避免不必要投资；但对于网络 中心设备、链路上的冗余要求，也应根据应用的需求，避免盲目投资造成设备 闲置。 2. 网络安全防御体系设计 包括防火墙、防病毒、脆弱性扫描等安全技术。对本方案中，对数据中心 应统一采用的安全技术分析如下： （）防火墙技术 防火墙是通过控制内部用户对网络的访问权限、认证并过滤外来用户访问的请求和信 息流等方法来保护内部网络资源的。 在服务器群建设的工程中，防火墙产品是实施逻辑隔离的关键设备，提供 网络至互联网的唯一出口，必须购置硬件防火墙设备，保证网络的内部安全。 （2）病毒防护技术 在服务器群的建设中，为避免网络内部遭受各类病毒的攻击，应在工程中采用企业级 病毒防护系统，该系统应至少包含客户机防护模块、服务器防护模块、病毒防护服务器、 集中管理控制台等四个部分，可以对全网络的计算机实施分布但统一管理的病毒防护。 （3）漏洞扫描技术 通过对网络设备及服务器系统的扫描，可以了解安全配置和运行的应用服 务，及时发现安全漏洞，客观评估网络风险等级。网络管理员根据扫描结果更 正系统中的错误配置、进行系统加固、安装补丁程序，或采用其它相关防范措 施。 主机与系统安全体系设计 主机与系统安全体系设计中，需要采取的措施有：病毒防范、操作系统安 全加固等，对关键业务系统采取事前评估、事中控制、事后审计三重防护体系。 （1）病毒防范 主机机自身的病毒防范，不同于网络病毒防范，但也是病毒防范的一个关键组成部分。 在服务器群建设的规划中，应该将主机的病毒防范和网络病毒防范结合考虑。 （2）基于主机的扫描、入侵防御、日志审计 对主机系统自动进行安全风险及其配置缺陷方面的评估，并对当前违规操作或者恶意 入侵及时发现并有效阻止，通过日志审计分析出问题并有效取证。 应用安全设计 入侵检测系统全称为 Intrusion Detection System，它从计算机网络系统中 的关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为 和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。 统一安全管理体系设计 统一安全管理体系包括安全技术和设备的管理、安全管理制度、部门与人 员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安 全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程 度上降低其它层次的安全漏洞。统一安全管理体系主要提供对如下信息的集中 管理和控制： 网络安全防护系统 应用系统 网络管理系统 策略管理系统 3.2.4 网络层安全 在网络层，需要利用防火墙的访问控制功能，限制节点的通信、应用服务， 通过在区域之间的防火墙实现对区域访问限制，将网络进行级别划分与控制， 增强网络互连的分割和过滤控制，可以大大提高安全保密性。 1、边界安全 服务器群介于 Internet 和安全专网之间，既是政府部门之间数据交换、信 息共享的平台，又是企业和市民获取应用服务的通道。它是政府各部门及企业、 市民相互沟通的枢纽，直接处理数据交换、查询等应用功能，并为各部门的电 子业务提供外网平台各项通用、基础服务。 系统运行所在专网和外网之间、不同安全域之间根据需要设置防火墙，依 据安全政策对出入网络的信息流进行控制，有条件地允许、拒绝、检测或过滤。 防火墙设置需要综合考虑系统所要求的速度、性能、管理、便易性和性价比等 各个方面，进行周密设计和总体规划；另外应注意加强安全管理，采取一些必 要的措施保证较高的安全性，在实际配置和实施时应该关闭不需要的服务，要 经常检查防火墙的日志，发现异常应该及时处理，采取多层防御、冗余防御等 多种方法和措施。 根据数据中心的安全需求，在互联网接入处采用 USG5320，将数据中心同 外部互联网隔离开来，有条件地允许、拒绝、检测或过滤，有效抵御外界的非 法访问。 USG5000 系列产品是华为公司针对大流量安全业务需求的应用，推出的 新一代多功能安全网关，可广泛应用于运营商、政府、金融、能源、高校等大 型机构的网络，在高性能、高可靠性、高可扩展性、高可维护性四个方面为用 户提供了技术领先的解决方案。全新的多核硬件架构设计，成熟可靠的 VRP 软 件平台，结合硬件级和软件级的可靠性支持，保障用户的网络不会受到业务中 断的影响；开放的系统架构可支持对多种物理接口和软件功能的扩展，可以有 效保障用户的前期投入，不断的为用户提升产品价值；提供多种管理和维护方 式，既可以简便有效的管理设备，又可以实现问题和故障的快速定位，使用户 的维护工作变得简单轻松。 3.2.5 系统层安全 服务器群的服务器上承载着各种重要的业务，而要保障业务的持续性，就 要充分保证数据中心所有主机的安全性。目前的操作系统或应用系统无论是 Windows 还是其它任何商用 UNIX 操作系统以及其它厂商开发的应用系统，系 统本身大多存在安全漏洞。这些安全漏洞都将存在重大安全隐患，另一方面还 有来自网络病毒的威胁；对系统层面的防护采用基于主机的风险评估系统和基 于主机的入侵防御系统对系统进行实时评估和防御；并在系统上安装防病毒客 户端，防止病毒对系统的破坏。 1、病毒防护 数据中心面临的威胁主要包括传统病毒、蠕虫、木马和恶意代码等混合型 威胁。这些威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻 击，不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的 计算机进行传播和攻击。混合型威胁传播速度极快，通常在几个小时甚至几分 钟就可以导致整个网络瘫痪。攻击程序的破坏性更强，受感染的系统通常伴随 着木马程序种植除了破坏被感染的机器，在传播过程中会形成 DDoS 攻击，阻 塞网络。 Symantec Endpoint Protection 将 Symantec AntiVirus与高级威胁防御 功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能 力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如 rootkit、零日攻击和不断变化的间谍软件。 Symantec Endpoint Protection 不仅提供了世界一流、业界领先且基于特 征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端 点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动 防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络 通信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视 为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。 这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企 业高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需 的所有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会 受到充分保护。 Symantec Endpoint Protection 不仅可以增强防护，而且可以通过降低管 理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一 个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理， 而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告 及一个授权许可和维护计划。 Symantec Endpoint Protection 易于实施和部署。赛门铁克还提供广泛的 咨询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理， 并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说，赛 门铁克还提供托管安全服务，以提供实时安全防护。 3.2.6 应用层安全 由于网络连接到互联网，网络的使用者既有来自互联网的用户、合作伙伴、 网民，也有来自内部的员工，因此网络面临以下的安全威胁： 恶意入侵者对网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙， 进入网网络，获取、篡改甚至破坏敏感的数据，乃至破坏网的正常业务 和生产运行； 大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防 火墙进入网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统 处理性能的下降，同时也会对核心敏感的数据造成严重的威胁，甚至造 成网络的拥塞，导致业务和生产的中断； 由于安全技能和安全意识存在差异，员工可能无意识的通过互联网络将 Internet 上危险的、恶意的木马程序和恶意代码下载到内部网络执行， 甚至将 Internet 上的蠕虫、网络病毒传播进入内部网络，这将对网络 的安全带来严重威胁； 需要考虑内部的不满员工恶意破坏信息网络、系统和数据的可能； 由于各种 IM 即时通讯软件、P2P 下载软件、在线视频导致网络资源滥 用，网络性能下降，严重影响正常工作。 由于网提供互联网站对外提供服务，WEB 应用出现漏洞的时候，能够被 攻击者利用进行挂马、拒绝服务等攻击，影响业务正常使用。 根据对数据中心网络系统的风险分析，我们发现数据中心网络的需求主要 在以下方面： 检测蠕虫、网络病毒、间谍软件和黑客攻击对地市网络和内部服务器 造成的危害，并动态响应，保障网业务系统的正常运行； 有效控制地市网络资源滥用，监控各种 IM 即时通讯软件、P2P 下载、 在线视频等严重占用网络资源的事件。 监控地市网络的安全运行，全面把握安全状态，防止安全事件的发生。 定期对网络的 WEB 网站进行漏洞扫描和安全评估。 因此，在服务器群中部署网络入侵检测系统，能够有效检测各种攻击，监 控网络资源滥用，保证服务器群网络系统的安全稳定运行。 入侵检测作为一种积极主动地安全防护技术，提供对内部攻击、外部攻击 和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。作为防火墙 的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的 安全管理能力（包括安全审计、监视、攻击识别和响应） ，提高了信息安全基础 结构的完整性。入侵检测系统对所有监听到的网络活动的记录，也为网络管理 员进行事后分析、网络管理等提供了依据。 入侵检测系统的主要功能包括：监视、分析用户及系统的活动；系统结构 和安全漏洞的审计；识别网络入侵攻击的活动模式并提出告警；异常行为模式 的统计分析；重要系统和数据文件的完整性评估；操作系统的审计跟踪管理与 违反安全策略行为的识别。 根据系统的应用特点，在服务器群每个区域节点部署一套千兆级入侵检测 探测器 NIP1000，放置在数据中心的核心交换机上，负责对所监控的安全域的 数据进行分析和监控，及时发现安全相关事件和网络异常情况，并与防火墙联 动以实现更高级别的安全保护。 华为 NIP 网络智能入侵检测系统产品介绍： 华为 NIP 网络智能入侵检测系统作为一种高效、准确和智能化的网络攻击 检测产品，能实时采集网络系统中的信息数据，并通过综合分析和比较，判断 是否有入侵和可疑行为的发生，并采用多种方式实时告警，记录攻击，阻断攻 击者的进攻，从而起到保护用户网络和系统免受外部和内部的攻击的作用。 NIP 网络智能入侵检测系统特别适用于需要极高网络安全性的机构，例如：审 计机构、安全顾问机构、安全法律执行机构、大型企业、Internet 服务提供商、 培训机构以及涉及敏感信息的政府机构等。 3.2.7 安全管理 安全管理可以从两方面来考虑，一是技术层面，二是管理层面。从技术层 面来说,采用一些安全管理系统来协助管理人员对系统进行实时的安全管理和保 护，借助安全管理系统，IT 管理员能够主动识别可能影响关键任务应用的安全 威胁，并进行优先级排序和作出响应；从管理层面，主要是制定一些适合数据 中心的规章制度，从制度上对系统管理人员、技术人员、外来人员等进行约束 和限制，保证系统正常运行；二者是互补的，可以将很多管理制度、管理思想 融入到安全管理系统里面，实现安全的自动管理，减少企业的投入。 信息系统由于安全威胁的存在，脆弱性不能及时得到弥补，总会存在各种 安全隐患。安全评估旨在从风险管理角度，运用科学的方法和手段，系统地分 析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成 的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解 信息安全风险，将风险控制在可接受的水平，从而最大限度地保障信息安全提 供科学依据。为了提高安全评估效率、准确率和可操作性，华为研制开发了 iSAP 信息安全评估平台, 针对安全评估过程中信息管理和风险计算问题，提供自 动化评估支撑平台，可有效解决安全评估实施难度大、周期长、准确率低的问 题，方便易用的评估工具可降低评估难度，提高评估准确率，易于用户进行周 期性的自评估使用。 3.2.8 本地数据存储备份 随着今后应用系统的变化和网络数据量的增加，为有效保证业务的持续性， 提升系统整体的抗灾能力，结合国土局信息系统特点，针对数据库服务器进行 双机部署，增加备份服务器及磁盘阵列，构建统一的数据备份平台。 1、在本方案中，有服务器通过 HA 软件实现双机热备。 2、方案中，在需要连入 SAN 网络的服务器上每台安装 2 块光纤卡，分别 连接到 2 台 SAN 交换机。 3、采用一台磁盘存储作为 SAN 光纤存储设备，磁盘做 RAID5，本方案采 用了全冗余的 SAN 高可用性架构。 4、在本方案中数据备份采用华为的 HDP3500，这是一款集备份软件、备 份服务器、存储设备于一体的数据保护产品，连接到 SAN 网络上，本机上的数 据通过 SAN 直接备份到 HDP3500 中，同时，该服务器负责整个备份系统的管 理，包括备份策略的定制、备份数据库的保存等。在 SAN 中的数据库服务器安 装相应的数据库 Agent，在线备份数据库和文件系统，然后直接通过 SAN 将数 据传输到 HDP3500 备份系统；应用服务器上安装 Agent，备份 LAN 方式把文 件和系统。 5、通过配置部署 HDP3500 备份系统，基于备份管理软件实现 Lan-free 的 备份。实现数据的离线备份。 四、售后服务与技术支持 概述 针对本项目，北京红石华赛科技有限公司将依托完善的技术支持服务体系， 充分调动公司的技术资源和设备资源，通过周密的部署，采用我公司成熟的技 术服务产品和规范的管理流程，为国土局网络整合项目提供优质、量化管理、 过程透明、结果共享的技术支持服务，以充分满足国土局网络整合建设项目的 要求。 考虑到技术支持工作在整个项目中的重要性，北京红石华赛科技有限公司 将充分发挥完善的技术支持和服务体系的作用。通过运作流畅的支持服务体系， 使公司能够为国土局网络系统提供全面、及时、规范、准确的技术支持和服务， 使之贯穿于本次国土局网络建设项目所需网络设备维护服务的各个阶段。 4.1 北京红石华赛技术支持服务体系 北京红石华赛科技有限公司是一家国内知名的专业从事计算机网络、主机、 系统软件集成、应用系统开发和技术支持服务的系统集成商。主要合作的厂商 包括华为、华为赛门铁克。北京红石华赛科技有限公司在北京、上海、济南、 郑州等全国各大、中型城市设有分公司和办事机构，同时也在当地设有技术支 持中心。经过长期的努力与积累，我们已为国内数百家用户提供了专业技术支 持服务，用户遍布全国各省、市、自治区。在多年的技术支持与服务过程中， 我们逐渐形成了在地域上覆盖全国主要大、中城市和经济发达地区；技术服务 产品上涵盖当今主流技术和产品；技术支持服务方式丰富多样、灵活、快捷； 技术队伍专业、规范、勤恳的技术支持服务体系。 北京红石华赛科技有限公司支持服务是以北京为服务管理中心，以六大中 心城市为服务支撑平台，以各地办事机构为服务网点，覆盖全国所有区域和城 市的大型服务网络。 网络技术相关资源在全国范围内实现资源共享，人力资源根据需要统一调 配，以实现对某一区域的技术支持。 4.1.1 北京红石华赛科技有限公司技术资源 每个区域部门都配有相应的人力与技术资源，包括管理人员和工程技术人 员，其中大部分技术人员都已经取得厂商各种认证资格，成为支持服务的中坚 力量 北京红石技术服务优势 通过多年系统集成和技术支持服务经验的积累，北京红石华赛科技有限公 司逐步认识到完善的技术支持和服务是系统集成商的生命力所在，并在技术支 持和服务方面已经形成一套严格的、规范化的服务体系。 北京红石华赛科技有限公司的主要优势为： 规范的服务流程和服务文档体系； 完善的服务机制和良好的服务策略； 充足的技术资源和设备资源； 本地化服务。 具体体现为： 占有国内专业金融系统集成市场的相当高的份额保障了客户以更低 的成本、更高的效率使用各种先进的主机和网络系统，同时也培养了许 多经验丰富的技术工程师。 按照标准化的程序进行为使北京红石华赛科技有限公司的服务更加规范化、 标准化，北京红石华赛科技有限公司的服务体系历经了近4年的检验和审核。 全国与区域结合、快速反应建立严格的组织结构，垂直领导，具有 灵活的人力资源调动能力，凭借覆盖全国的技术支持服务体系，统一调 配人力资源，形成快速的本地技术支持服务队伍。 多层次、多项目服务供用户选择不仅提供系统集成服务，而且根据 用户的具体需求，进行战略规划的服务、顾问专家级专题技术服务。 专业化外包服务根据用户的需求提供专业化的系统外包服务，在双 赢的策略指导下使客户与服务提供方发挥各自最大能力，获得最大利益。 多种服务标准，优质优价，满足不同层次用户的需求根据用户的不 同要求，提供给用户合理的技术支持服务等级，收取合理的服务费用。 人员素质高，服务质量有保证北京红石华赛科技有限公司支持和服务人员 100%拥有相关专业的本科以上的学历和丰富的技术实践经验。 多种服务手段北京红石华赛科技有限公司根据不同项目的特点，提 供多媒体、多手段技术支持服务，如提供设备安装、调测、配置等工程 实施工艺及系统维护的多媒体教学教程（培训及实施工艺等）。 良好的信誉和协调能力北京红石华赛科技有限公司经过多年的系统集成和 服务，在用户中建立了良好的技术支持和服务信誉，形成与厂商和谐默 契的关系。 良好的用户培训，提高用户的技术水平和能力根据北京红石华赛科技有 限公司长期积累的经验，良好的用户培训是保证用户系统稳定、高效率 运行的基础，北京红石华赛科技有限公司将为用户提供多种层次、多种 手段的技术培训，使用户的相关技术人员拥有一定的技术水平和故障处 理能力。 提供本地化服务。 4.1.2 应急备件服务 为了给用户提供良好的备件支持，北京红石华赛科技有限公司自建 华为、 华赛网络产品备件库，在用户需应急备件服务时，北京红石华赛科技有限公司 除使用本次项目采购设备所含备件以及启动设备备件 MA 服务流程外，还具有 提供自有备件进行应急备件服务的能力。从而减少用户网络系统的宕机时间， 提高网络系统的可用性。 4.2 北京红石华赛科技有限公司技术支持服务承诺 北京红石华赛科技有限公司若有幸作为此次国土局网络建设项目的系统集 成商，将从总体上考虑本项目的技术支持与售后服务，并全力配合国土局在工 程的整体规划、项目工程实施与管理、测试验收、技术支持与售后服务以及系 统的维护管理等各重要环节进行周密的部署，以充分满足此次招标项目建设的 要求。 考虑到技术支持与售后服务工作在整个项目中的重要性，北京红石华赛科 技有限公司将充分发挥完善的技术支持与服务体系的优势；同时也要发挥北京 红石华赛科技有限公司做为系统集成商的职能，积极协调相关的设备生产商一 起为本项目提供更加全面、及时、规范、准确的技术支持与售后服务，使之贯 穿于客户整个系统集成项目的实施、测试验收、日常运行维护以及技术支持与 售后服务等各个阶段。并在用户和北京红石华赛科技有限公司共同组建的项目 领导小组的领导下，与专家及技术顾问组紧密配合，通过技术支持服务小组全 面完成相关的技术支持与售后服务。 在本项目中，北京红石华赛科技有限公司将会主动和思科等设备生产厂商 强强联合，充分发挥各自的优势和长处，以高质量的技术支持与售后服务承诺 来体现做为系统集成商的价值。北京红石华赛科技有限公司作为整个工程实施 的集成商，将会利用自身的品牌优势和多年的系统集成经验，发挥北京红石覆 盖全国的技术支持与售后服务体系的优势，借助 E-MAIL、现场应急、定期巡检 等多种服务方式为客户提供完善的技术支持与售后服务。 4.2.1 产品服务承诺书 北京红石华赛科技有限公司将遵循如下服务条款为本项目提供技术支持服 务，北京红石华赛科技有限公司将按照用户相关的项目管理标准，向用户提供 及时、规范、满意的服务。 4.2.2 集成与实施期间服务承诺 1) 北京红石将本着认真负责态度组织服务团队： 服务团队具有较高的专业水平、较强的技术支持和项目管理能力， 具备提供大规模数据中心生产网络服务支持的能力； 北京红石承诺提供的技术服务人员与投标文件所列相符； 在项目启动后，如果需要更换技术服务人员，北京红石将与用户协 商并获得书面同意。如技术服务人员态度与能力不符合项目要求， 最终用户有权提出更换人员要求，北京红石将在 5 个工作日内解 决，并对此而延误的项目工期负责； 服务改进：北京红石提供的服务若不能满足最终用户项目实施需要， 最终用户提出改进要求后，3 个工作日内没有明显改进，北京红石 项目经理将 58 小时在现场监督改进，3 个工作日仍然没有明显 改进，北京红石项目经理的上级领导将 58 小时在现场监督改进， 依次类推，直到服务总经理（或同级别经理）58 小时在现场监 督，直到完全改进； 2) 北京红石承诺将与用户的技术人员共同参与设备的安装、测试、诊断及 解决问题等系统集成实施工作； 3) 北京红石对于系统的调优将提供积极的支持，承诺不因为北京红石（包 括投标产品的制造商）的原因导致今后系统调整、优化的难以实施； 4) 北京红石提供系统切换的应急方案，在设备无法正常上线时，保证顺利 回退； 4.2.3 服务期内服务内容 1) 北京红石对本次采购产品免费提供 36 个月的质量保证服务，质量保证 期起始日期为最终用户签发最终验收报告的日期为准； 2) 北京红石承诺在质量保证期间，对因中标产品本身或北京红石、投标产 品的制造商原因造成的各种硬件和软件故障，将迅速修复； 3) 因投标产品性能原因造成系统不能正常运行或运行效果不佳,北京红石 承诺将提供高于所本次采购货物档次的产品或模块进行替换,直至系统 正常运行,产生的费用由北京红石负责； 4) 我方将针对用户现有网络设备情况,提供基于原厂商的备件支持服务。 在实际执行过程中，如厂商备件到达无法满足应急要求时，北京红石将 根据用户网络运行实际情况，提供必要的应急备件服务。该服务免备件 使用费、免人工费、免服务费。 5) 北京红石承诺对于国土局网络设备影响生产的紧急事件，在 4 小时内恢 复运营；对于不影响运营的故障，在 24 小时修复； 6) 项目验收完毕后，北京红石承诺将提供网络现场支持服务 12 个月（按 需到场） ； 7) 北京红石承诺提供本次采购的设备系统软件（软件维护、版本升级、补 丁程序）技术支持；提供实验室技术支持（含远程故障的诊断） ，及技 术热线和在线支持服务； 8) 北京红石承诺在特殊时段（年终结算、重大业务活动等类似时段） ，以 及产品安装、系统变更和迁移、系统升级等提供现场支持服务； 9) 北京红石承诺在最终用户重大业务活动之前，免费到最终用户现场对设 备进行例行检查；定期（每月一次）对最终用户所购设备进行现场巡检 服务，及时发现并解决问题，并提交相应健康检查报告； 10) 每次现场服务后北京红石将向最终用户提交维护技术服务工作报告 ， 对未完全解决的问题，北京红石至少每周与最终用户联系，跟踪问题， 协商处理，直至问题解决，若出现必须由投标产品的制造商解决的事件， 则北京红石负责与投标产品制造商联系并解决，由此产生的所有费用由 北京红石承担； 11) 若北京红石需将有故障的机器或部件运至北京红石指定的维修中心，北 京红石负责将设备运至指定地点及运回最终用户指定地点，由此发生的 一切费用由北京红石承担； 12) 若最终用户本次采购设备跟与之相关联的硬件、软件产品出现兼容性问 题时，北京红石承诺将积极配合，与有关硬件、软件厂商和最终用户接 洽，及时定位问题原因、寻求解决方案； 13) 北京红石免费协助原厂商对现有网络设备提供原厂商软件版本评估服务。 4.2.4 正常服务期满后的服务 北京红石华赛科技有限公司对本次项目所提供产品承诺提供永久性技术 支持，以确保用户系统长期正常运行。正常服务期满后免费提供永久性 电话、邮件、传真等远程技术支持，成本价提供备品备件及现场服务。 服务的标准和内容与保修期内相同，属原厂商（第三方）备件和软件及 介质的收取成本费用。 4.2.5 技术服务方式 服务方式 北京红石华赛科技有限公司承诺通过电话、传真或互联网技术等方式，为 用户解决产品相关的问题，保证 724365 全年全天候的技术支持与服务。 对于不能通过电话、传真或互联网技术等解决的与软件产品相关的各种技术问 题，北京红石华赛科技有限公司将派有经验的技术人员到现场为用户解决问题。 服务组织 北京红石华赛科技有限公司成立专门针对本项目的服务小组，抽调高水平 的专业技术服务人员，统一领导、协调，按照承诺的标准为用户提供专业水准 的服务。服务组织体系详见技术部分项目支持服务方案 。 4.2.6 培训承诺 培训对象 北京红石华赛科技有限公司将对包括客户相关技术人员，提供符合项目建 设需要的培训。 培训质量 北京红石华赛科技有限公司培养了一大批具有实践经验的专职和兼职的培 训师资力量，这些专职或兼职的培训教师经过 CISCO、华为、华为赛门铁克等 众多厂商的教育培训后，均获得相应的认证证书，熟悉产品内容和相关的应用 技术，具有丰富的项目实施经验和培训经历，具有良好的表达能力与沟通技巧， 并经过了多年的技术及培训服务工作的积累，构成了北京红石华赛科技有限公 司完善的培训管理与服务体系。 培训计划 北京红石华赛科技有限公司在实施培训之前，将制订确实可行和完善的培 训计划，并递交项目管理组审批，在得到项目管理组审批后，将严格按照项目 培训计划和相关的质量管理要求，实施培训工作。 培训内容 北京红石华赛科技有限公司在制订培训内容时，会根据培训对象的不同， 制定不同的培训内容和目标。北京红石华赛科技有限公司针对本项目提供实施 现场培训。 4.3 项目支持服务方案 4.3.1 北京红石华赛科技有限公司售后服务联系方式 北京红石 400 服务电话：4006163233 北京红石服务邮箱地址： 传真4.3.2 本项目支持服务组织结构 项目支持服务组织结构说明 北京红石华赛科技有限公司是一家专业从事计算机网络、主机、系统软件 集成、应用系统开发和技术支持服务的国内知名的专业系统集成商。北京红石 华赛科技有限公司在北京、上海、郑州等全国各大、中型城市设有分公司和办 事机构，同时也在当地设有技术支持中心。 为了确保在项目后期的维护过程中，能够为本项目提供完善、快捷的系统 维护、故障排除、性能调优等服务，北京红石华赛科技有限公司决定在本项目 后期维护过程中的支持服务组织结构，采用由参与项目实施的技术人员组成的， 专门针对国土局客户的，专有技术支持服务组织结构，以保证向用户提供高效、 便捷的技术支持与服务。同时北京红石华赛科技有限公司还设有专门的项目质 量管理人员，负责项目支持服务过程的监管和控制，确保支持服务工作按质量 管理规范执行。 此组织结构以实施及服务工作的连续性、服务对象的一致性这两个特征， 体现现了北京红石华赛科技有限公司实施工作的连续性、服务品质的优质性、 系统维护的简易性。这些优点使得此组织结构比传统的组织结构更具有优良的 服务品质。 项目支持服务组织结构说明 北京红石华赛科技有限公司的为了保障对用户在系统日常运行维护过程中 出现的问题做出快速地响应，保证系统的正常运行，根据技术人员的不同技术 水平，将支持服务人员分为两个层面：技术专家和技术工程师。分别处理和响 应用户不同层次的问题，以使用户能够得到满意的答复。 技术支持小组 1. 人员构成 由北京红石华赛科技有限公司项目实施组的专业技术人员组成。 2. 具体职责： 负责项目实施完成后的一般性技术支持与服务工作，包括电话支持 服务、现场维护服务、定期巡访、紧急现场支持等。 应急响应小组 1. 人员构成 由北京红石华赛科技有限公司的技术专家组成。 2. 具体职责： 负责处理项目技术支持与服务过程中出现的异常故障和事件。 技术专家组 1. 人员构成 由北京红石华赛科技有限公司的高级技术顾问和技术专家组成。 2. 具体职责： 负责向用户和技术支持人员提供技术咨询，帮助解决项目中的 一些非常见性问题。 对用户的系统进行分析和诊断，向用户提交系统建设规划报告 和建议方案。 负责用户的非现场技术培训工作。 4.3.3 北京红石华赛科技有限公司支持服务请求处理流程 在每个项目实施阶段结束后，有关该项目的相关资料即移交至北京红石华 赛科技有限公司支持服务中心备案，同时北京红石华赛科技有限公司支持服务 中心为客户生成一个支持服务合同号码，并将客户系统的支持服务纳入北京红 石华赛科技有限公司支持服务体系。客户可以利用其维护服务合同号，724 小时得到北京红石华赛科技有限公司支持服务中心的支持。 4.3.4 项目应急支持服务处理